Разработка организационно-правовых мер защиты информации от утечек по техническим каналам на примере организации

Оглавление
Введение 3
1. Утечка информации по техническим каналам 6
1.1 Акустический канал утечки информации 8
1.2 Визуально-оптический канал утечки информации 12
1.3 Радиоэлектронные каналы утечки информации 15
1.4 Материально-вещественный канал утечки информации 17
1.5 Методы добывания информации о вещественных признаках 19
2. Организация защиты информации от утечек по техническим каналам в ООО «Профи» 22
2.1 Характеристика деятельности предприятия ООО «Профи» 22
2.2 Оценка информационных активов предприятия ООО «Профи» 24
2.3 Анализ угроз защищаемой информации 26
2.4 Выявление каналов акустической утечки информации 29
3. Разработка предложений по совершенствованию организационно-правовой защиты информации от утечек по техническим каналам 32
3.1 Разработка технического задания 32
3.2 Разработка комплекса технических мероприятий по защите информации 36
3.3 Разработка комплекса организационно-правовых мер по защите информации в компании 47
3.4 Оценка стоимости проведения мероприятий 54
3.5 Оценка показателей экономической эффективности 58
Заключение 65
Список использованных источников 68
Приложение 1 70
Приложение 2 72

п.) и мебели;комплексная проверка;периодический радиомониторинг;специальная проверка проводных линий;специальная проверка применяемой радиоэлектронной аппаратуры;постоянный радиоконтроль;проведение тестового «прозвона» всех телефонных аппаратов.Периодичность и виды проверок помещений в целях выявления в них закладных устройств зависят от степени важности помещений и порядка допуска в них посторонних лиц.Специальное обследование и визуальный осмотр проводятся, как правило, без применения технических средств. Остальные же виды проверок требуют использования тех или иных специальных средств контроля.Визуальный осмотр помещений проводится перед началом и после завершения служебных совещаний, а также в начале и после завершения рабочего дня. Данный вид проверки кабинетов руководящего состава целесообразно поручать их секретарям, так как они могут наиболее быстро выявить новые предметы, появившиеся в кабинете. Проверку помещений для проведения служебных совещаний целесообразно поручать работникам подразделения, осуществляющего эксплуатацию объектов информатизации, с привлечением работника по защите информации.При проведении визуального осмотра особое внимание уделяется местам, куда можно быстро и скрыто установить закладное устройство. Этот вид контроля позволяет выявить закладки, оставляемые посетителями в легко доступных местах: под столешницами, под сидениями стульев, в различных щелях, за картинами, за батареями, за мебелью, за шторами и т.д.Специальная проверка радиоэлектронной аппаратуры, в том числе ПЭВМ и телефонных аппаратов, проводится после их закупки или ремонта. Специальная проверка проводных линий осуществляется после окончания строительства объекта или после проведения его капитального ремонта, а также периодически в целях обнаружения несанкционированных подключений к линиям средств съема информации. Радиоконтроль выделенных помещений проводится в целях обнаружения активных радиозакладок с использованием сканерных приемников или программно-аппаратных комплексов контроля. Тестовый «прозвон» телефонных аппаратов проводится при установке нового телефонного аппарата или телефонного аппарата после ремонта, а также периодически. 3.3 Оценка стоимости проведения мероприятийИсходной посылкой при экономической эффективности является почти очевидное предположение: с одной стороны, при нарушении защищенности информации наносится некоторый ущерб, с другой - обеспечение защиты информации сопряжено с расходованием средств. Полная ожидаемая стоимость защиты может быть выражена суммой расходов на защиту и потерь от ее нарушения.Очевидно, что оптимальным решением было бы выделение на защиту информации средств, минимизирующих общую стоимость работ по защите информации.Также очевидно, что экономическая эффективность мероприятий по защите информации может быть определена, через объем предотвращенного ущерба или величину снижения риска для информационных активов организации.Для определения экономического эффекта от внедрения системы ИБ в компании «Профи» воспользуемся первым вариантом (через объем предотвращенного ущерба), так как известны ожидаемые потери при нарушении защищенности информации и зависимость между уровнем защищенности и средствами, затрачиваемыми на защиту информации.Для определения уровня затрат Ri нам известен: перечень угроз информации, потенциальную опасность для информации для каждой из угроз, размеры затрат, необходимых для нейтрализации каждой из угроз (Таблица 4.3, Таблица 4.6).Для определения уровня затрат возможно использование эмпирической зависимости ожидаемых потерь (рисков) от i-й угрозы информации, формулаRi = 10(Si + Vi – 4) (4.1)гдеSi – коэффициент, характеризующий возможную частоту возникновения соответствующей угрозы;Vi – коэффициент, характеризующий значение возможного ущерба при ее возникновении.Значения коэффициентов SiиVi, приведенные в таблице 4.1 и 4.2.Таблица 4.1Значения коэффициентов SiОжидаемая (возможная)частота появления угрозыПредполагаемое значениеSiПочти никогда01 раз в 1 000 лет11 раз в 100 лет21 раз в 10 лет31 раз в год41 раз в месяц (примерно, 10 раз в год)51-2 раза в неделю (примерно 100 раз в год)63 раза в день (1000 раз в год)7Таблица 4.2Значения коэффициентов ViЗначение возможного ущербапри проявлении угрозы, руб.Предполагаемое значение Vi30030013 000230 0003300 00043 000 000530 000 0006300 000 0007Суммарная стоимость потерь определяется формулой 4.2.R=(4.2)где N – количество угроз информационным активам.Результаты расчетов для активов компании «Профи» представлены в таблице 4.3.Таблица 4.3Величины потерь для информационных ресурсов до модернизации системы защиты информации от ТКУИАктивУгрозаВеличина потерь (тыс.руб.)Инструкции по безопасностиНамеренное повреждение600Кража100Информация о сделкахКража100Несанкционированное использование носителей данных150Нелегальное проникновение злоумышленников под видом санкционированных пользователей150Ошибка операторов100Персональные данные клиентовКража150Персональные данные сотрудниковКража150Суммарная величина потерь1500Итак, в подразделе проведена экспертная оценка вероятного ущерба компании «Профи» от реализации угроз информационной безопасности до внедрения организационно-правовых мероприятий.Для оценки эффективности проводимых мероприятий оценим стоимость реализации проекта и осуществим экспертную оценку вероятного ущерба от реализации угроз информационной безопасности после внедрения организационно-правовых мероприятий.3.4 Оценка показателей экономической эффективностиВеличина ущерба от утечки информации зависит от уровня инженерно-технической защиты информации, который, в свою очередь, определяется затратами на обеспечение информационной безопасности.Наиболее общей формой представления ресурса является денежная мера.Затраты могут носить разовый и постоянный характер.Разовыезатраты расходуется на закупку, установку и наладку аппаратных и программных средств.Постоянныезатраты — эксплуатационные затраты на обеспечение работы всей системы информационной безопасности (заработная плата сотрудникам службы ИБ, ремонт технических средств защиты и т.д.).Для определения экономической эффективности системы защиты информации компании «Профи» необходимы следующие данные:расходы на создание/модернизацию системы информационной безопасности и поддержание её в работоспособном состоянии;величины потерь, обусловленных угрозами информационным активам до и после внедрения/модернизации системы защиты информации;Содержание и объеме разового ресурса, выделяемого на защиту информации приведен в таблице 4.4.Таблица 4.4Содержание и объем разового ресурса, выделяемого на защиту информацииОрганизационные мероприятия№ п\пВыполняемые действияСреднечасовая зарплата специалиста (руб.)Трудоемкость операции (чел.час)Стоимость, всего (руб.)1Проверка помещения на ТКУИ250200500002Формирование акта помещения для совещаний2002040003Разработка внутренних нормативных документов по защите от ТКУИ20036004Разработка плана регламентных работ2003600Стоимость проведения организационных мероприятий, всего55200Перечень затрат на аппаратные средства защиты информации от ТКУИ приведен в таблице 4.5.Таблица 4.5Перечень затрат на аппаратные средства защиты информации от ТКУИ№ п/пНоменклатура ПиАСИБ, расходных материаловСтоимость, единицы (руб)Кол-во (ед.измерения)Стоимость, всего (руб.)1Устройство защиты МП-1А8000180002Виброизлучатель ПИ-457000170003Устройство защиты конфиденциальных переговоров «UDAV-M»150001150004Генератор радиопомех ГШ 2500200001200005Защитная пленка500015000Стоимость проведения мероприятий инженерно-технической защиты55000Объем разового ресурса, выделяемого на защиту информации110200Объеме эксплуатационных затрат, выделяемых на защиту информации от ТКУИ, приведен в таблице 4.5.Таблица 4.5Содержание и объем эксплуатационных затратОрганизационные мероприятия№ п\пВыполняемые действияСреднечасовая зарплата специалиста (руб.)Трудоемкость операции (чел.час)Стоимость, всего (руб.)1Проверка помещений на ТКУИ100720720002Дежурство по техническим средствам защиты от ТКУИ200270540003Выполнение плановых мероприятий по ИБ2004511000Стоимость проведения организационных мероприятий, всего137000Мероприятия инженерно-технической защиты№ п/пНоменклатура ПиАСИБ, расходных материаловСтоимость, единицы (руб)Кол-во (ед.измерения)Стоимость, всего (руб.)1Резервное устройство защиты МП-1А80005400002Резервное устройство защиты конфиденциальных переговоров «UDAV-M»150004600003Резервное устройство ГШ 2500200004800004Резервная защитная пленка50004200005Резервные виброизлучатели70001070000Стоимость проведения мероприятий инженерно-технической защиты270000Объем постоянного ресурса, выделяемого на защиту информации441000Суммарный объем выделенного ресурса составил: 110200+441000=551200 рублей.Рассчитанная величина ущерба согласно таблице 4.3 составила: 1500000 рублей.Величина потерь для активов предприятия после внедрения системы ИБ приведена в таблице.Таблица 4.6Величины потерь для информационных ресурсов после модернизации системы защиты информации от ТКУИАктивУгрозаВеличина потерь (тыс.руб.)Инструкции по безопасностиНамеренное повреждение400Кража60Информация о сделкахКража70Несанкционированное использование носителей данных40Нелегальное проникновение злоумышленников под видом санкционированных пользователей50Ошибка операторов60Персональные данные клиентовКража60Персональные данные сотрудниковКража60Суммарная величина потерь800Таким образом, период окупаемости, рассчитываемый по формуле Ток = R∑ / (Rср – Rпрогн) (4.3)Составляет Ток = 551200 / (1757250 - 1562000) = 551200 / 195250= 2 годаВ ходе выполнения главы были рассмотрены основные каналы утечки информации в помещениях компании.Разработан комплекс организационных мероприятий, описан перечень внедряемых технических средств и внутренних регламентирующих документов.Для достижения оптимального соотношения «безопасность – ресурс» необходима разработка комплекса мероприятий по предупреждению и исключению наиболее вероятных угроз информационной безопасности.ЗаключениеЦелью дипломной работы является разработка предложений по совершенствованию организационно-правовых мер защиты информации от утечек по техническим каналам в ООО «Профи».В первой главе ВКР рассмотрены каналы утечки информации:акустический канал утечки информации;визуально-оптический канал утечки информации;радиоэлектронные каналы утечки информации;материально-вещественный канал утечки информации.Во второй главе рассмотрена деятельность предприятия ООО «Профи». Осуществлена оценка информационных активов предприятия ООО «Профи». Осуществлен анализ угроз защищаемой информации, выявлены каналы утечки акустической информации.Также разработан комплекс технических мероприятий, а также комплекс организационно-правовых мер по защите информации от ТКУИ в компании ООО «Профи».Осуществлено финансово-экономическое обоснование реализации комплекса мероприятий по защите информации в компании ООО «Профи».При обследовании помещений компании были выявлены следующие акустические каналы утечки информации:Воздушные технические каналы утечки информации:при проверке помещения для совещаний на наличие закладных устройств был обнаружен микрофон, с устройством передачи информации по радиоканалу;Оптико-электронный технический канал утечки: обнаружено, что окна помещения не защищены от оптических наводок;Электроакустические каналы утечки информации: абонентский аппарат в помещении для совещаний не имеет защиты и обладает «микрофонным эффектом».Для защиты от утечки информации по ТКУИ было принято решение установить в помещениях компании следующие технические средства:Применение устройства защиты конфиденциальных переговоров «DRUID D-06» для защиты от прослушивания с использованием (радиомикрофонов, стетоскопов, звуковых регистраторов, пассивных резонаторов, проводных микрофонов).Применение на окнах самоклеящиеся пленки Llumar R 15 GO SR HPR для защиты от оптических наводок.Применение виброизлучателей - предназначены для возбуждения шумовых вибраций в остеклении окон (дверей, офисных перегородок и т.п.).Установку устройства защиты МП-1А и МП-1Ц - предназначены для исключения утечки информации через абонентскую линию аналоговых и цифровых АТС соответственно в режиме ожидания вызова.Разработанный перечень организационных мероприятий, включающий:закрепление ответственности за разглашение конфиденциальной информации на договорных основаниях;определен порядок обращения с носителями конфиденциальной информации;разработан перечень мер по защите информации от внедренных специальных электронных устройств.были разработан ряд внутренних регламентирующих документов.Разработанные регламентирующие документы по защите от ТКУИ:план и регламент обследования помещений компании на наличие закладных устройств;договора о неразглашении коммерческой тайны с сотрудниками компании.инструкции для сотрудников компании по защите коммерческой тайны.Таким образом, в ходе выполнения дипломной работы был выполнен весь перечень заявленных задач.Список использованных источниковНормативные документы«Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. ГОСТ Р 51275-2006» (утв. Приказом Ростехрегулирования от 27.12.2006 N 374-ст)«Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (утв. решением Гостехкомиссии России от 30.03.1992)«Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (утв. решением председателя Гостехкомиссии РФ 25.07.1997)Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) «О персональных данных»Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 24.11.2014) «Об информации, информационных технологиях и о защите информации»Указ Президента РФ от 06.03.1997 N 188 (ред. от 23.09.2005) «Об утверждении Перечня сведений конфиденциального характера». ЛитератураБройдо В.Л. Вычислительные системы, сети и телекоммуникации/В.Л. Бройдо, Спб.: Питер, 2011 – 560.Бабенко М., Хакер. Взлом и защита. – М.: Феникс, 2010 – 215 с.Бузов Г., Защита информации ограниченного доступа от утечки по техническим каналам. – М.: Горячая линия – Телеком, 2014 – 594 с.Ботуз С., Управление удаленным доступом. Защита интеллектуальной собственности в сети Internet. – М.: Ботуз, 2009 – 320 с.Кузьнецов В., Информационная безопасность систем организационного управления. Теоретические основы. – М.: Наука, 2008 – 496 с.Поляк-Брагинский А.В. Локальные сети. Модернизация и поиск неисправностей/А. Поляк-Брагинский, Спб.: БВХ-Петербург, 2012 – 832.Радько Н., Риск-модели информационно-телекоммуникационных систем при реализации угроз удаленного и непосредственного доступа. – М.: РадиоСофт, 2010 – 345 с.Скляров Д., Искусство защиты и взлома информации. – Спб.: БХВ-Петербург, 2010 – 275 с.Сердюк В.А. Организация и технологии защиты информации. Обнаружение и предотвращение информационных атак в автоматизированных системах предприятий/В.А. Сердюк, М.: Высшая Школа Профиомики (Государственный Университет), 2012 – 576.Чекмарев Ю.В. Вычислительные системы, сети и коммуникации/Ю.В. Чекмарев, М.: Книга по требованию, 2012 – 184.Шаньгин В.Ф. Защита компьютерной информации/В.Ф. Шаньгин, М.: Книга по требованию, 2010 – 544.Шаньгин В., Защита информации в компьютерных системах и сетях. – М.: ДМКПресс, 2010 - 415 с.Шаньгин В., Информационная безопасность и защита информации. – М.: ДМКПресс, 2014 - 702 с.Филиппов П., Использование и защита персональных данных в социальных сетях Интернета. – М.: Синергия, 2012.Фленов М., Компьютер глазами хакера. – СПб.:БХВ-Петербург, 2012 – 207 с.Приложение 1Таблица 2.1Перечень информационных активовВид деятельностиНаименование активаФорма представленияВладелец активаКритерии определения стоимостиРазмерность оценкиКоличественная оценка (ед.изм)КачественнаяИнформационные активыПродажа услуг компанииИнформация о сделкахБумажные копии договоров + информация на сервере БДОтдел сбытаБухгалтерияСтоимость восстановления договоров, количественный критерийПорядка 1000 рублей за договорОбеспечение безопасности компанииИнструкции по безопасностиИнструкции на электронных и бумажных носителях. Таблицы учетных записейСлужба безопасностиИТ-отделУщерб от НСД к информации конкурентами2000000Продажа в кредитПерсональные данные клиентовинформация на сервере БДОтдел сбытаРепутация компании, качественный критерийВысокаяКадровый учетПерсональные данные сотрудниковинформация на сервере БДОтдел кадровРепутация компании, качественный критерийВысокаяПриложение 2Таблица 2.2Перечень сведений конфиденциального характера ООО «Профи»№ п/пНаименование сведенийКатегория информацииНормативный документ, реквизиты, №№ статей1.Персональные данные сотрудниковПерсональные данныеФедеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных» 2.Персональные данные клиентовПерсональные данные3.Инструкции по безопасности Коммерческая тайнаФедеральный закон от 29.07.2004 № 98-ФЗ  «О коммерческой тайне»Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»Указ Президента РФ от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера»4.Информация о сделках компанииКоммерческая тайнаФедеральный закон от 29.07.2004 № 98-ФЗ  «О коммерческой тайне»Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»Указ Президента РФ от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера»